根据 最近的研究仅在过去 54 个月内,就有 12% 的企业遭遇第三方数据泄露,而且这些泄露造成的成本持续上升。 今天, 数据泄露的平均成本 在美国已升至4.45万美元,过去三年增长超过15%,数据表明第三方参与是最显着的加剧因素之一。
“第三方违规”一词让许多人认为此类事件的过错在于第三方,但情况并非总是如此。 虽然彻底审查潜在合作伙伴和供应商的安全实践很重要,但组织还需要有效地保护和管理非员工身份,以避免让自己面临不必要的风险。 随着第三方违规行为的数量和严重程度持续增长,实施有效的 非员工风险管理 实践对于现代商业将变得越来越重要。
非员工身份正在飙升
过去几年,一般组织使用的身份数量猛增,非员工身份也不例外。 A 最近的一项研究 麦肯锡的调查发现,现在 36% 的美国劳动力由零工、合同工、自由职业者和临时工组成,高于 27 年的 2016%。除了合同工之外,当今的企业还与合作伙伴组织、供应链供应商、顾问和其他外部实体,所有这些都需要不同程度地访问组织的数字环境。
非员工身份的数量已经足够大,无需考虑非人类身份,例如与 130 种不同的软件即服务 (SaaS) 应用程序相关的身份。 一般公司 今天使用。 为了在组织的数字环境中工作,这些非员工实体都需要正确配置身份,并且需要在整个生命周期中有效管理这些身份,以降低风险并避免成为潜在威胁。
非员工身份生命周期
在保护和管理非员工身份方面,最大的挑战之一是入职流程。 IT 和安全部门并不总是拥有有关非雇员员工可能需要执行的特定工作职能的必要信息,这使得配置变得困难。 由于安全团队经常面临避免阻碍业务运营的压力,因此阻力最小的方法通常是授予不必要的权限。 这有助于简化操作,但也很危险:身份拥有的权限越多,如果该身份遭到泄露,攻击者造成的损害就越大。
非雇员工人的流动性也使得管理身份生命周期变得困难。 孤立帐户是一个严重的问题:如果没有人告诉 IT 或安全人员承包商已离开,他们的帐户(及其所有权限和权利)可以无限期地保持活动状态。 同样危险的是遗留权限或重复帐户。 定期重新评估合同工所需的权限,消除不再需要的权利非常重要。 这听起来很简单,但当今的组织经常管理着数百或数千名非员工。 正确配置它们是一项重大挑战,但对于管理非员工风险至关重要。
非员工风险管理的最佳实践
组织需要一种能够从单个仪表板可视化所有非员工身份的解决方案,该解决方案还可以清楚地说明每个身份所享有的权限和权利。 这意味着拥有一个可以整合自动化功能的解决方案,从而可以更轻松地配置新帐户和停用旧帐户。
为某些职位创建预定义的角色可以使入职更快、更安全,并且当新的非员工开始工作时,他们的权限应该有一个结束日期。 为每个非员工员工分配一名内部“发起人”也很重要,该人知道他们执行工作所需的权限,并负责向 IT 部门通报其状态的任何变化。 推而广之,解决方案跟踪发起人何时发生变化也很重要——例如发起人离开组织或担任新角色的时间。
有效的非员工风险管理解决方案还应该使重新验证过程变得更加容易。 组织应定期检查以验证非员工是否仍在组织内工作。 这可能包括每月向每个非雇员的担保人发送通知以确认其状态。
系统还应该能够监控权限是否正在被积极使用,并在身份似乎处于休眠状态或过度配置不需要的权利时通知 IT 和安全团队。 验证身份是否仅具有所需的权利并避免孤立帐户问题是非员工风险管理的最重要要素之一。
随着企业使用越来越多的合同工、第三方供应商、SaaS 应用程序和其他非员工实体,采用现代方法进行非员工风险管理不再是可选的,而是必不可少的。
关于作者
Ben Cody 拥有 30 多年构建和交付企业软件产品以及成功领导创新和高效产品组织的经验。 作为 SailPoint 的产品管理高级副总裁,Ben 负责监督公司的产品战略、路线图和交付。 在加入 SailPoint 之前,Ben 曾在 Digital Guardian 和 McAfee 担任高级产品管理职务。 他的专业知识涵盖身份和访问管理、数据保护、威胁检测、云安全和 IT 服务管理。 Ben 拥有俄克拉荷马大学管理信息系统学士学位。 当他不生产保护身份的产品时,他是一名狂热的葡萄种植者。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
- 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
- 柏拉图ESG。 汽车/电动汽车, 碳, 清洁科技, 能源, 环境, 太阳能, 废物管理。 访问这里。
- 柏拉图健康。 生物技术和临床试验情报。 访问这里。
- 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
- 块偏移量。 现代化环境抵消所有权。 访问这里。
- Sumber: https://www.darkreading.com/risk/facing-third-party-threats-with-non-employee-risk-management
- :具有
- :是
- :不是
- $UP
- 12
- 12个月
- 15%
- 2016
- 30
- a
- 关于
- ACCESS
- 账号管理
- 账户
- 要积极。
- 积极地
- 增加
- 采用
- 所有类型
- 单
- 还
- 时刻
- 其中
- an
- 和
- 任何
- 出现
- 应用领域
- 的途径
- 保健
- AS
- 相关
- At
- 自动化
- 避免
- 避免
- BE
- 因为
- 成为
- 成为
- 作为
- 相信
- 本
- 最大
- 违反
- 违规
- 建筑物
- 商业
- 企业
- 但是
- by
- CAN
- 能力
- 案件
- 一定
- 链
- 挑战
- 挑战
- 更改
- 支票
- 明确地
- 密切
- 云端技术
- 云安全
- 购买的订单均
- 公司
- 完成
- 妥协
- 确认
- 顾问
- 继续
- 继续
- 合同
- 承包商
- 价格
- 危急
- 周期
- 危险的
- XNUMX月XNUMX日
- data
- 数据泄露
- 数据保护
- 日期
- 交付
- 交货
- 部门
- 检测
- 不同
- 难
- 数字
- do
- 不
- 不
- ,我们将参加
- 每
- 更容易
- 有效
- 只
- 高效
- 或
- 分子
- 消除
- 结束
- 更多
- 企业
- 企业软件
- 实体
- 环境
- 环境中
- 一样
- 必要
- 例外
- 体验
- 专门知识
- 延期
- 面对
- 因素
- 快
- 特征
- 针对
- 发现
- 自由职业者
- 止
- 功能
- 越来越
- 授予
- 增长
- 监护人
- 有
- 有
- he
- 保持
- 帮助
- 他的
- 持有
- HTTPS
- 数百
- IBM
- 身份
- 身分
- if
- 实施
- 重要
- in
- 事件
- 包括
- 合并
- 增加
- 增加
- 日益
- 表示
- 信息
- 信息系统
- 创新
- 内部
- 成
- 参与
- ISN
- IT
- IT服务
- 它的
- 工作
- 加盟
- 保持
- 领导
- 信息
- 最少
- 左
- 遗产
- 谎言
- 生活
- 不再
- 制成
- 使
- 制作
- 制作
- 管理
- 管理
- 颠覆性技术
- 管理方案
- 管理的
- 许多
- 最大宽度
- 可能..
- 迈克菲
- 麦肯锡
- 手段
- 可能
- 百万
- 现代
- 监控
- 每月一次
- 个月
- 更多
- 最先进的
- 自然
- 必要
- 需求
- 需要
- 全新
- 没有
- 通知
- 通知
- 现在
- 数
- of
- 经常
- 俄克拉何马州
- on
- 前期洽谈
- 一
- 那些
- 仅由
- 运营
- or
- 组织
- 组织
- 其他名称
- 学校以外
- 超过
- 合伙人
- 伙伴
- 党
- 过去
- 径
- 演出
- 权限
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 职位
- 潜力
- 做法
- 总统
- 压力
- 以前
- 先
- 市场问题
- 过程
- 产品
- 产品管理
- 核心产品
- 正确
- 保护
- 保护
- 规定
- 把
- 减少
- 定期
- 经常
- 留
- 要求
- 抵制
- 提供品牌战略规划
- 上升
- 复活
- 风险
- 变更管理
- 路线图
- 角色
- 角色
- s
- SaaS的
- 安全
- 保障
- 保安
- 前辈
- 发送
- 服务
- 几个
- 应该
- 显著
- 简易
- 单
- 软件
- 方案,
- 有人
- 跨度
- 具体的
- 赞助
- 赞助商
- 赞助
- 启动
- 州
- Status
- 仍
- 策略
- 精简
- 成功
- 这样
- 遭遇
- 供应
- 供应链
- 系统
- 产品
- 需要
- 队
- 告诉
- 临时
- 术语
- 比
- 这
- 其
- 他们
- 他们自己
- 博曼
- 他们
- 第三
- 第三方
- 第三方数据
- Free Introduction
- 透
- 那些
- 数千
- 威胁
- 威胁
- 三
- 始终
- 至
- 今晚
- 跟踪时
- true
- 下
- 联合的
- 美国
- 大学
- 不必要
- us
- 使用
- 用过的
- 使用
- 利用
- 验证
- 厂商
- 验证
- VET
- 副
- 副总裁
- 体积
- 井
- 什么是
- ,尤其是
- 是否
- 这
- 而
- WHO
- 将
- 中
- 也完全不需要
- 工作
- 工人
- 工人
- 劳动力
- 加工
- 年
- 和风网